微点交流论坛 - 主动防御 - 我设想的一种用于HIPS的子母分离式白名单认证技术

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 我设想的一种用于HIPS的子母分离式白名单认证技术

Alpha_Boy
中级用户

积分 235
发帖 225
注册 2008-5-17

#1 我设想的一种用于HIPS的子母分离式白名单认证技术

三、高成本、高难度、高技术含量同时也可能是高收益的办法——搞一个HIPS白名单认证体系，即“子母分离式放行规则升级包”，并把它做成一个行业标准！！！

A、由HIPS官方认可的软件试用小组的授权“试毒”员去试用一个“绿色”软件，在确认其无毒、无木马、无插件后，通过“母版”HIPS中内置的一个程序选项，生成一个扩展名为“.confirm”的认证文件。

1)、该认证文件应带有CRC循环冗余校验码，用于检测及修复其自身的完整性。

2)、该认证文件本身必须是高度加密的，无法用“母版”HIPS以外的工具软件去浏览或修改——而且其所使用的加密技术必须定期随母版HIPS一起更新。

3)、该文件中应带有那个“绿色”软件中所有文件的SHA1哈希校验值.

4)、该文件中有从“试毒”员正在使用的“母版”HIPS规则中自动提取和分离出来的，针对那个“绿色”软件而创建的放行规则——该规则可由“试毒”员手动修改。

5）、该规则中应有两个数字，一个是对应着“母版”HIPS的安装序列号——该序列号必须是唯一的；另一个则对应着“试毒”员在现实生活中的身份证号码！

B、之后该HIPS“试毒员”可以将这个“.confirm”文件随同那个“绿色”软件一起打包，放到HIPS自己出资建设的下载网站，或者和HIPS有战略合作伙伴关系的网站上供广大“子版”HIPS用户——也就是普通个人用户下载。

C、当一个“子版”HIPS用户下载了该“绿色”软件的压缩包后，在解压并运行该绿色软件的主要可执行程序时，他电脑中安装的“子版”HIPS就会先拦截并暂停该程序的运行，

而后自动搜索该程序所在的目录中有没有“.confirm”认证文件，若没有则进入“询问式拦截”模式（在下文中简称其为“询问”模式，此时“子”版HIPS给出的提示要尽可能的通俗易懂），

若有则开始进行以下的步骤：

1)通过CRC校验码检测那个“.confirm”认证文件的完整性，若Yes则开始2)。[若No则进入询问模式并向用户发出警告］

2)解密“.confirm”文件，若发现该文件的加密技术落后于最新的加密技术，则向用户发出询问，“是否切换到询问模式运行该程序？”当用户选择“否，不进入询问模式”、或“子”版HIPS发现该认证文件采用了最新的加密模式，则开始3)。[当用户选择“是”则切换到询问模式。]

3)根据认证文件中的SHA1校验码校验该绿色软件的主程序及其所有“.dll”模块、“.sys”驱动文件的完整性，若Yes进入4)，同时将这些SHA1校验码记录到“子”版HIPS的一个配置文件中。若No则发出警告并切换到询问模式。

4)将由“母”版HIPS试毒员参与编写的放行规则添加到“子”版HIPS的规则库中，并根据该“绿色”软件当前的保存路径自动设置相应的放行规则中的路径，并开始5)。

5)将认证文件中有关“母”版HIPS的唯一安装序列号和参与编写该认证文件的“试毒员”的身份证号码记录到“子”版HIPS的日志文件中，并开始6)。

6)在理想的状态下，“子”版HIPS会按照已经升级完毕的放行规则，一路顺顺利利地运行这个绿色软件。

D、假设那位个人用户重装过系统，只要备份过那个“子”版HIPS的相应规则库，并且没有移动过那个绿色软件，那么“子”版HIPS应该能够毫无障碍地运行这个绿色软件。

E、假设那位个人用户移动过这个绿色软件，由于相应的文件名和SHA1加密数值的对应关系已经保存到“子”版HIPS的某个配置文件中了（该文件也要加密），那么“子”版HIPS应该能自动“侦测”出这是一个以前运行过的绿色软件，已有相应的放行规则了，

它会询问用户“是否要套用以前的放行规则，并修正相应规则中的路径？”，一旦用户点了是就一切OK。

F、厄，还有一个问题，当用户关闭那个绿色软件后，第二次运行那个绿色软件时，“子”版HIPS应该先从自身的某个配置文件中读取有关该绿色软件所有文件的SHA1校验码信息，并进行一次程序完整性校验，若Yes才开始调用以前从认证文件中升级而来的规则。

当然，在配置较低的电脑上，这个功能默认是被关闭——我假设一个绝对理想的“子”版HIPS在初次安装时会侦测本机的硬件配置，并自动在内置的几套设置方案中作出取舍——无非就是牺牲安全型换取性能或着反之。
------

G、有人会说了，你这套啰哩八唆的，“道”版自微软数字签名和诺顿巨型白名单库（甚至还有微点官方论坛主动防御版块中的一个网友的设想）的方案乍看之下很安全，也许可以有效地用于那种长年累月不升级的应用软件，

但若用户电脑中装的是一个隔三差五就要升级的软件呢？比如网络游戏什么的。呵呵，我苦想了好几个小时，但是仍然没有相处解决之道。

最后我忽然眼前一亮，网络游戏公司财大气粗，让他们出钱养着一个专门的“试毒”员，在每次升级游戏程序的同时，也顺便升级一下那个“.confirm”认证文件不就成了？
------

H、突然想到，HIPS真的把这套类白名单库做成一个行业标准的话，大可以把能创建“.confirm”文件的“母”版HIPS拿出来卖，卖给那些网络游戏公司，只要这东西做得比他们自己开发的什么驱动防火墙管用而且兼容性更高，那么他们应该是舍得花这笔钱的吧？

I、我不是真的程序员，以上这套类似BT软件的想法能不能在一个合理的成本内实现，我也不清楚，请有兴趣有能力的朋友把它转载给HIPS官方，让专业人士去论证、补充吧。

我的终极设想就是用“.confirm”文件（可将其看作一种可按用户需求自由定制的白名单库体系）代替病毒库，

让病毒、木马的编写者陷入人民战争的汪洋大海之中——假设人人的电脑中都有HIPS，社会上到处都是效力于HIPS官方的职业或业余“试毒”员（试毒员应该也搞个等级评定什么的，不能随便让什么人都有资格创建可用于获取系统最高权限的软件的“.confirm”认证文件），

一般老百姓根本就不会去运行没有“.confirm”文件的软件——那么谁还会中毒？

J、突然我脑中又钻出一个想法，吓了我自己一跳——到那时，HIPS也就变成一个垄断企业了，之后，为了不得罪其它软件厂商的利益，它敢不敢那些“道”版软件的“试毒”员，发放“试毒”用“母”版HIPS，并进行相应的资格授权呢？

如果它不敢，然后广大用户又在私底下偷偷取用各种“道”版的东西——那么HIPS白名单认证体系不就名存实亡了吗？

可见，除非中国人普遍富起来了，否则，“道”版软件、病毒、木马将永远与我们同在>.<……
******

※ ※ ※ 本文纯属【Alpha_Boy】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-9-14 13:50

snhao
银牌会员

积分 1791
发帖 1782
注册 2007-6-12

#2

很牛B，我看不懂，先收藏再说。

※ ※ ※ 本文纯属【snhao】个人意见，与【微点交流论坛】立场无关※ ※ ※

东方微点论坛

2010-2-5 10:05

jackybaby
中级用户

积分 330
发帖 321
注册 2006-12-31
来自 sz

#3

多少人尝试过把HIPS做的简单易用，但都不可得，所以HIPS始终是少数人的玩物。

※ ※ ※ 本文纯属【jackybaby】个人意见，与【微点交流论坛】立场无关※ ※ ※

微点+组策略，不知毒滋味。

2010-2-5 10:33

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号